8.6.5. Configuration de la connexion au MISP
8.6.5.1. Introduction
Note
`MISP` visible uniquement après activation de la configuration puis sauvegarde de celle-ci.8.6.5.2. Prérequis
Utilisateur : membre du groupe Administrator
8.6.5.3. Opérations préliminaires
Se connecter au GCenter via un navigateur (voir la Connexion à l'interface web du GCenter via un navigateur internet)
8.6.5.4. Procédure d’accès à la fenêtre `MISP settings`
Dans la barre de navigation, cliquer successivement sur :
le bouton
`Admin`le sous menu
`GCenter`- la commande
`Third-party modules`La fenêtre`Third-party modules`est affichée.
Cliquer sur le bouton
`MISP`.
8.6.5.5. Procedure pour visualiser le statut courant
L'écran suivant est affiché :
Dans la partie (1)
`Resume`, visualiser :le statut
le message d'état de la connexion avec le serveur distant (2)
Note
Etat : Inactivele message :`MISP has never been configured`signifie que la connexion avec le MISP n'existe pas ou est mal configurée.Pour configurer la connexion, effectuer la procédure suivante.
8.6.5.6. Procédure pour configurer la connexion
La configuration est à effectuer dans la partie (3) `MISP Settings`.
Activer le bouton
`Enable MISP features`d'activation des fonctions du MISP (4).Suivant le besoin, activer le bouton (5)
`Disable TLS verification`de désactivation de la vérification TLS.Sélectionner le protocole (6) de communication à utiliser pour contacter l'instance MISP : deux options sont possibles ('https' et 'http').
Saisir le port d'écoute (7).
Saisir la clé API (8) de l'instance MISP.
Saisir le FQDN ou l'adresse IP (9) de l'instance MISP.
Sélectionner l'interface réseau (10) de connexion du GCenter.
- Cliquer sur le bouton (11)
`Save`.Le service est maintenant activé, le statut courant de la connexion est modifié (`Active`) ainsi que les informations sur la connexion.Le sous menu`MISP`du menu`Sigflow`est maintenant accessible aux membres du groupe`operator`.Il est donc possible de choisir une mise à jour manuelle ou automatique. - Pour effectuer une mise à jour manuelle, effectuer la Procédure de configuration de la mise à jour manuelle des règles MISP.Pour effectuer une mise à jour automatique, effectuer la Procédure de configuration de la mise à jour automatique des règles MISP.
8.6.5.7. Procédure de configuration de la mise à jour manuelle des règles MISP
Dans la barre de navigation, cliquer successivement sur :
le bouton
`Config`le sous menu
`Sigflow`- la commande
`MISP`La fenêtre`Misp suricata`est affichée.
Cliquer sur le lien
`Manual update`.
Saisir l'intervalle de temps dans le champ (1).
Si besoin , utiliser la fonction
`Fast mode`(2).Note
Cela effacera toute personnalisation au niveau des règles (seuils, listes désactivées, transformations, ...)
- Cliquer sur le bouton (3)
`Save`.La mise à jour est lancée et les informations correspondantes sont affichées dans la partie`Last updates`de l'écran`Misp suricata`.
8.6.5.8. Procédure de configuration de la mise à jour automatique des règles MISP
Dans la barre de navigation, cliquer successivement sur :
le bouton
`Config`le sous menu
`Sigflow`- la commande
`MISP`La fenêtre`Misp suricata`est affichée.
- Cliquer sur le lien
`Automatic update`.
Activer ou désactiver la génération automatique des mises à jour avec le sélecteur (1).
Sélectionner la date de début de la génération automatique dans le champ (2).
Saisir l'heure de la mise à jour en UTC dans le champ (3).
Sélectionne la périodicité (en jours) dans le champ (4).
Saisir l'age maximum des événements récupérés dans le champ (5).
- Cliquer sur le bouton (3)
`Save`.La mise à jour est lancée et les informations correspondantes sont affichées dans la partie`Last updates`de l'écran`Misp suricata`.